安全從業者 角色譜(一)企業合規視角下的3種角色

2021-10-19 14:01:17 字數 2356 閱讀 9968

前言:

「6月29日,中國網路空間安全協會發布了《2023年中國網路安全產業統計報告》(以下簡稱為《報告》)。

《報告》指出,2023年國內網路安全技術、產品與服務總收入約為523.09億元,同比增長25.37%,網路安全企業從業人員約為10萬人。到2023年底,中國網路安全市場規模將突破千億元。」

在誤打誤撞成為一名網路安全從業者後,常會感慨網路安全是乙個龐大的命題,個人力量極其渺小。

那麼,安全行業到底都有哪些角色,分別從事什麼工作內容,起著什麼作用呢? 本文試從有限的個人視角進行總結歸納。

(一) 企業合規視角下的從業角色

一、角色分布

1、規則制定方。可能包含監管機構,或標準機構,協會等。

個人從業角色:行業專家

2、第三方測評機構

個人從業角色:審計師/測評師.

3、被監管方

受法律/法規、標準/指南等約束的各類主體,本文特指企業或機構組織。 

個人從業角色:合規專員/合規經理/內部審計師

二、執行機制

安全合規 可以理解為,企業為了證明自身符合特定的法律法規,或特定行業監管要求,而進行的評估認證。

評估方式:可以進行自評或請外部第三方機構進行評估。

對於企業來說,合規的主要作用是:

通過合規指引,提公升自身安全能力水平。

符合監管要求,規避可能帶來的罰款,客戶或聲譽損失。

通過較高水平的標準認證,獲取行業准入或客戶認可,間接促進業務營收。

崗位設定:

安全合規是在規模以上企業才會出現的崗位。在業務還在萌芽期,或發展期時,業務體量小,盈利水平低,企業將主要精力放在業務發展上,同時往往不會被納入重點監管視線。

當企業組織規模增長,已經上市,或即將準備ipo時,內部合規建設會成為內部建設的必要環節。 

組織架構:

安全類合規崗位,因需一定的安全專業知識背景,往往隸屬於安全管理部門。

視各企業不同的架構設定,可能向首席資訊官cio或首席技術官cto匯報。

三、角色說明

接下來,按照從企業到監管的順序,逐項進行角色說明。

1、合規專員:

能順暢溝通外部機構,幫助企業獲取特定資質。

對標準學習能力、溝通等軟素質有一定要求,需要安全相關專業知識,理解業務現狀,能夠有效推動內部進行現狀與預期之間差距的改善。

此時,企業往往處於初步符合監管要求階段,以應對監管和特定客戶需求為主。

2、合規經理:

當企業內部包含多個業務,或面向較多行業,需要統籌規劃資質認證時,會成立2-3人的小團隊,由合規經理帶隊管理。

主要目標是幫助企業的不同業務產品,分別制訂合規&認證規劃;通過專業知識的整合,以盡可能少的精力投入,獲得更多資質認證。

此時企業組織往往已經有了合規基礎,並努力通過合規認證,幫助業務產品獲取更多市場競爭機會。

3、is資訊系統審計師(內部):

一般有較高安全合規要求的特定組織會設定此類崗位。如銀行、跨國集團、集團公司、或較高安全意識的上市公司等。

is審計師的主要工作是結合外部監管要求和內部組織規程,對子公司或內部業務的展開安全審計。 

內部is審計師,需要對內部組織管理情況、業務情況具備相當的了解。同時也需要對外部規範/標準保持學習,有資格簽發部分自評估報告。

常見的審計師資格認證有:cisa 國際資訊系統審計師(isaca頒發)、cia 國際註冊內部審計師(iia頒布)、以及特定認證的認證的iso27001內審員、iso27001la主任審核員等。

4、外部審計師/測評師:

在第三機構幫助企業展開安全評估或資質認證時,企業最常接觸到以下幾類角色:

5、行業專家

企業在做合規,第三方機構在做評估和審計,那麼評估和審計的標尺,從何而來呢? 

答案是由專業水平較高、且經驗豐富的一群行業專家設定。 這裡的水平太高,暫不展開來講了。

以上, 是企業合規視角中的角色圖譜。

下一期,嘗試講述《企業攻防視角下的角色圖譜》。

昆明外來IT從業者現狀

我們同樣是城市的建設者 昆明外來it從業者現狀 雲網 http yunnan.2005 04 29 14 38 48 華好網 雲南 字型 大 中 小我們來自外地,我們卻同樣愛著昆明,這座美麗的春城!我們同樣是這座城市的建設者!我們同樣為雲南的it行業貢獻著才智 追逐著夢想!我們有成功的歡歌,也有失敗...

IT從業者國企生存指南

不是混不下去了才寫生存指南,因為我媽指著新聞聯播說,娃呀,你要是不在國企幹了,在這上面見你的機會就基本沒了,我。一旦離職很有可能是完全脫產一年時間來進行脫密 2016年我要畢業於是從2015年底我就開始準備找工作了。當時還在ibm實習,實習期間,並沒有做出什麼出彩的工作。只是按照師傅的要求,對於組內...

Tmux Linux從業者必備利器

本文詳細介紹tmux的概念和搭建過程 linux tmux 為什麼要用tmux tmux是什麼?tmux是linux中一種管理視窗的程式。那麼問題來了 mac自帶的iterm2很好用啊。既支援多標籤,也支援窗體內部panel的分割,為什麼還要用tmux?其實,多標籤和分割窗體只是tmux的部分功能。...